хакеры нацелились на геномные лаборатории

Исследователи из Eclypsium выявили уязвимости BIOS/UEFI в популярном секвенаторе ДНК Illumina iSeq 100. Устройство использует устаревшую версию BIOS с режимом совместимости (CSM) без включённой функции Secure Boot и стандартных защит от записи микропрограммы. Это создаёт риск, что злоумышленники могут модифицировать прошивку устройства, вывести его из строя или внедрить вредоносное ПО для долгосрочного контроля.

Использование стандартного оборудования в медицинских устройствах увеличивает уязвимость всей цепочки поставок, особенно если в основе лежат устаревшие технологии. В данном случае проблемы связаны с материнской платой производства IEI Integration Corp, которая используется и в других медицинских и промышленных устройствах.

Анализ показал несколько критических проблем. Во-первых, включён режим CSM, поддерживающий старые версии BIOS, что небезопасно для современных устройств. Во-вторых, версия BIOS (B480AM12, 2018 года) содержит известные уязвимости. В-третьих, отсутствуют базовые защиты от записи и проверки целостности кода загрузки. Эти недочёты делают возможным незаметное изменение прошивки.

Уязвимости Illumina iSeq 100 особенно опасны на фоне недавних инцидентов. В 2023 году устройства Illumina подверглись угрозе из-за удалённого выполнения кода ( CVE-2023-1968 ), что привело к отзыву устройств по указанию FDA и выпуску рекомендаций CISA. Восстановление устройств требует значительных усилий, а их выведение из строя может серьёзно повлиять на работу медицинских учреждений.

Уязвимости BIOS/UEFI активно эксплуатируются злоумышленниками уже на протяжении многих лет. С 2015 года известны атаки с использованием UEFI-имплантов, таких как Hacking Team, LoJax и MosaicRegressor. Они направлены на установление контроля ниже уровня операционной системы, обеспечивая стойкую угрозу.

Данная проблема становится ещё более актуальной в медицинской сфере. Устройства, такие как секвенаторы ДНК, играют важную роль в диагностике заболеваний, создании вакцин и анализе генетической информации. Их компрометация может быть использована как для кибератак, так и для реализации геополитических мотивов.

В декабре 2023 года NIST опубликовал рекомендации по защите геномных данных, подчёркивая важность управления конфигурацией и проверки целостности оборудования. Эксперты призывают производителей медицинских устройств уделять больше внимания безопасности компонентов, поставляемых OEM-производителями, и развивать инструменты для оценки безопасности устройств.